"Der er blevet opdaget en sårbarhed, der gør det muligt at injicere tastatur-HID-pakker i Microsofts trådløse musenheder gennem USB-dongler," oplyser virksomheden. "USB-dongler vil acceptere tastatur-HID-pakker, der sendes til RF-adresserne på trådløse musenheder."
Anbefalede videoer
Ifølge Microsoft bortfiltrerer den leverede opdatering faktisk QWERTY-nøglepakker i tastetrykskommunikation udstedt fra den modtagende USB-dongle til den trådløse musenhed. Sikkerhedsproblemet findes i øjeblikket i både 32-bit og 64-bit versioner af Windows 7 Service Pack 1, Windows 8.1, Windows 10 og Windows 10 version 1511.
Ok, så hvad handler denne MouseJack-virksomhed om? Det er en teknik, der fokuserer på ikke-Bluetooth trådløse tastaturer og mus. Disse perifere enheder er forbundet til en stationær eller bærbar computer takket være en dongle indsat i USB-porten, hvilket muliggør trådløse transmissioner mellem værtscomputeren og det perifere udstyr. Problemet er, at fordi disse signaler sendes over luften, kan hackere bruge en speciel enhed til at sende deres egne ondsindede signaler til værts-pc'en på samme måde.
Sikkerhedsfirmaet Bastille Research faktisk har en hjemmeside dedikeret til MouseJack oplysninger og rapporterer, at hackere kan overtage en pc fra op til 328 fod væk. De kan udføre "hurtigt ondsindede aktiviteter" uden at blive opdaget af enhedsejeren blot ved at sende scriptkommandoer. Hackere kan endda skrive vilkårlig tekst, som om ofrene faktisk selv har indtastet teksten.
"MouseJack-udnyttelsen centrerer sig om at injicere ukrypterede tastetryk i en målcomputer," siger firmaet. "Musebevægelser sendes normalt ukrypteret, og tastetryk er ofte krypteret (for at forhindre aflytning af, hvad der bliver skrevet). MouseJack-sårbarheden udnytter dog de berørte modtagerdongler og deres tilhørende software, hvilket tillader ukrypteret tastetryk transmitteret af en angriber for at blive videregivet til computerens operativsystem, som om offeret havde skrevet dem lovligt."
Der er en liste over sårbare enheder placeret her, herunder produkter fremstillet af AmazonBasics, Dell, Gigabyte, HP, Lenovo, Logitech og Microsoft. Dell afgav faktisk en erklæring den 23. februar, hvori den sagde, at den har arbejdet med Bastille Research for at løse problemet relateret til KM632- og KM714-enhederne.
Selvom Microsoft har udsendt en opdatering for at løse MouseJack-problemet med sine mus, siger sikkerhedsforsker Marc Newlin at Windows-kunder, der bruger Microsoft-baserede mus, stadig er sårbare over for MouseJack på trods af patchen. Endnu mere siger han, at injektion stadig virker mod Sculpt Ergonomic-musen og alle ikke-Microsoft-mus. Der er heller ingen Windows Server-understøttelse i patchen.
MS sikkerhedsrådgivning 3152550 (#MouseJack patch) udgivet i dag. Injektion virker stadig mod MS Sculpt Ergonomic Mouse og ikke-MS mus.
— Marc Newlin (@marcnewlin) 12. april 2016
For mere information om den nye patch og hvordan man udfører en manuel installation, tjek Microsoft Security Advisory 3152550 her. Ellers vil Microsoft-kunder, der bruger et af dets listede trådløse produkter, måske overveje at få fat i opdateringen, når den ankommer via Windows Update.
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
